信息安全產(chǎn)業(yè)分析:SOX法案的啟示

申請免費試用、咨詢電話：400-8352-114

作者：計算機世界 艾琳

信息安全領域“只見森林、不見樹木”的說法喊了幾年，這一狀況至今并沒有真正改變。雖然全民的信息安全意識已經(jīng)極大地提高，但業(yè)界從業(yè)者卻依然很難從中挖到金子，因此很難有富裕的資金用于持續(xù)的技術(shù)投入和取得飛躍式發(fā)展。問題究竟出在哪兒？

幾年前，專家就分析，信息安全產(chǎn)業(yè)的一個怪現(xiàn)象是“只見森林，不見樹木”，意思是能看到廣闊的前景，但廠商卻很難獲得實實在在的回報。過去認為，人們的信息安全意識不高，對信息安全領域的投入認識不足，但隨著這幾年廠商和媒體的鼓噪，尤其是各種信息安全事件的不斷發(fā)生，事實在不斷地教育人們，人們的信息安全意識已經(jīng)極大提高，那為什么還存在這樣的怪現(xiàn)象呢？

我們首先看一組數(shù)據(jù)：IDC的最新報告顯示，2004年，我國IT總體投資為2307.5億元人民幣，而信息安全的總體投資才區(qū)區(qū)22.94億元人民幣，僅占總體投資的0.94%！2004年網(wǎng)絡安全預期的投資增長率為37.6%的，但實際只達到了31.2%，嚴重低于預期！再從中國和韓國的數(shù)據(jù)比較看，2004年，韓國的信息安全投資達到了53.63億元，是中國的2.5倍！由此可見中國的信息安全投入處于怎樣一個低下的水平！

是用戶缺乏資金嗎？并不完全是。事實上，在某些大型的行業(yè)采購中，比如金融領域，信息安全產(chǎn)品的采購比例甚至能達到50%左右。

然而，多數(shù)用戶處于持幣待購狀態(tài)，不敢輕易下單，因為他們心中沒底！

對信息安全投入多少才是合適的？投入后能夠達到多少安全率？98%還是99%？廠商和媒體不是一直在叫嚷“世上沒有絕對的安全嗎？”那么，一旦我投入巨資購置了安全設備，網(wǎng)絡依然被輕易攻破，我如何向上級老板交代？此外，我的信息資產(chǎn)究竟價值幾何？值得投入巨資保護它們嗎？恐怕這些問題是多數(shù)信息主管心中存在的問號。

專家分析，歸根結(jié)底，可以歸結(jié)為兩個原因: 一個是目前中國的信息化應用并不充分，除了那些關(guān)鍵行業(yè)外，網(wǎng)絡及信息資產(chǎn)并不是關(guān)鍵的資產(chǎn)，其價值還沒有被廣泛地認可；二是人們對信息安全只有一個簡單的認識，而缺乏整體的觀念。

專家分析，要解決這些問題，需要一定的方法和標準。等級保護制度就是在這樣的環(huán)境下被提出的，并日益成為信息安全建設的基本制度。

然而，國家對等級保護制度的推廣目前似乎只限于圈定的幾個重要的關(guān)系到國家安全、社會穩(wěn)定的重點行業(yè)，其他廣大的的企業(yè)似乎并沒有動力，也沒有責任一定要花大量的資金，建立這樣的制度！這就使得信息安全被縮小到有限的幾個行業(yè)，而不是一個大眾都愿意投資的行業(yè)，難怪中國整體信息安全投入嚴重偏低。

讓我們來看看國外的例子。美國自出臺了著名的薩班斯-奧克斯萊法案（即SOX法案）之后，對IT產(chǎn)業(yè)起到了極大的促進作用，對美國信息安全產(chǎn)業(yè)尤其如此。該法案規(guī)定，企業(yè)的CEO必須對企業(yè)財務數(shù)據(jù)的真實性負責，否則要承擔最多監(jiān)禁25年的刑事責任！其中有一段規(guī)定：CEO必須將這些財務信息保存8年以上，供隨時審計，其中過程、由網(wǎng)絡產(chǎn)生的數(shù)據(jù)都作為審計對象，因此，實際上是要求企業(yè)CEO必須對信息的存儲、保密性、真實性、可用性負責，這些正是信息安全技術(shù)和產(chǎn)品涵蓋的主要內(nèi)容，企業(yè)CEO不得不加大對信息安全技術(shù)和產(chǎn)品投入，以讓自己免于刑事責任！由此，極大地刺激了信息安全產(chǎn)業(yè)在美國的發(fā)展。

雖然SOX法案的出臺是由于安然公司倒閉事件引起美國公眾對股市的誠信危機而產(chǎn)生的，但它的出臺卻產(chǎn)生了意想不到的作用，這對中國的政府部門和立法者是否具有啟示作用呢？中國的信息安全領域目前就缺乏這種強制性、規(guī)范性的法律文件，幫助企業(yè)克服采購中的障礙，也順便刺激中國的IT整體應用的提高。

事實上，國務院信息化辦公室倡導的“誰主管、誰負責”的原則，基本上是這類管理條例的雛形，但需要進一步落實到法律條款中，并進行深化。同時，它的覆蓋范圍，也應該從幾個關(guān)鍵行業(yè)擴充到其他大量的行業(yè)、企業(yè)組織中來。

來源：計世網(wǎng)